Politika pro ESET Bridge | ESET Bridge 4

Nastavení obecné politiky pro ESET Bridge

•Port – ESET Bridge standardně běží na portu 3128. V případě potřeby port změňte.

Port, na kterém běží ESET Bridge, musí být otevřený a volný - nesmí jej využívat (naslouchat na něm) žádná jiná aplikace a nesmí být blokován operačním systémem.

•V případě, že si nastavíte vlastní port, který nebude dostupný, ESET Bridge použije výchozí port a v ESET PROTECT Web Console se zobrazí související upozornění.

•V případě, že nebude výchozí port volný, ve ESET PROTECT Web Console se zobrazí upozornění, že ESET Bridge Proxy není funkční.

•Ověřování – ve výchozím nastavení není pro připojení klientů k proxy serveru vyžadováno ověřování. Pomocí přepínače aktivujte ověření a zadejte Uživatelské jméno a Heslo.

Uživatelské jméno a heslo si nastavte dle svých preferencí. ESET Bridge nepodporuje přihlašování do Active Directory.

Komunikační protokol mezi ESET Management Agentem a ESET PROTECT On-Prem nepodporuje autentizaci. Přesměrování komunikace Agenta na ESET PROTECT On-Prem prostřednictvím proxy serveru, který vyžaduje autentizaci, nebude fungovat.

•Zaznamenávat protokoly od úrovně – z rozbalovacího menu si úroveň, v jaké chcete zaznamenávat události do trace protokolu: 0 (protokolování je vypnuté), Diagnostické, Informační (výchozí), Upozornění, Chyba, Fatální.

•Povolené adresy serveru – ESET Bridge ve výchozím nastavení odmítá všechny příchozí požadavky a povoleny jsou pouze hostitelské servery ESET. Chcete-li povolit další adresy serverů (názvy hostitelů), zadejte názvy domén, plně specifikovaná doménová jména nebo IP adresy (adresy oddělte čárkou).

•Povolené porty serveru – ve výchozím nastavení ESET Bridge povoluje pouze porty, které používají servery společnosti ESET. Chcete-li povolit další porty (například vlastní port pro ESET PROTECT On-Prem), zadejte čísla portů (oddělená čárkou).

Přidat podporu pro ESET Inspect On-Prem

Výchozí konfigurace ESET Bridge podporuje cloudové řešení ESET Inspect. Pro přidání ESET Inspect On-Prem zadejte název hostitelského serveru ESET Inspect do pole Povolené adresy serveru. Výchozí port pro ESET Inspect je 8093 a je ve výchozí konfiguraci ESET Bridge povolen. Pokud ESET InspectOn-Prem používá vlastní port, zadejte jeho číslo do pole Povolené porty serveru.

•Použít vlastní DNS servery – místo výchozích DNS serverů na zařízení s ESET Bridge použijte vlastní DNS servery. Zadejte vlastní adresy DNS serverů jako názvy domén nebo IP adresy oddělené čárkou.

Nastavení politiky pro cache ESET Bridge

•Maximální velikost cache (v MB) – výchozí a doporučená hodnota je 5000. Pokud velikost cache překročí definovanou maximální velikost, dojde k odebrání nejstarších dat uložených v cache.

Pokud bude maximální velikost cache definovaná v politice vyšší než dostupné volné místo na oddílu s cache, v ESET Bridge Web Console se zobrazí související upozornění a ESET Bridge použije výchozí velikost pro cache.

•Minimální volné místo (v MB) – výchozí hodnota: 1000. Pokud volné místo na disku klesne pod definovanou hodnotu, dojde k odebrání nejméně využívaných dat v poslední době.

•Doporučujeme nenastavovat minimální volné místo na méně než 1000 (1 GB), protože by to mohlo vést k odstranění již uložených dat a snížení výkonu cache.

•Pokud bude minimální velikost cache definovaná v politice vyšší než dostupné volné místo na oddílu s cache, v ESET Bridge Web Console se zobrazí související upozornění a ESET Bridge použije výchozí hodnotu pro minimální volné místo.

•Ukládat HTTPS komunikaci do cache – po aktivování tohoto přepínače se začne HTTPS komunikace ukládat do cache.

Cachování HTTPS komunikace podporují pouze nejnovější verze bezpečnostních produktů ESET. Další informace naleznete v kapitole podporované produkty.

•HTTPS certifikát – v této části můžete přidat nebo změnit klientský certifikát, který je nezbytný pro fungování cachování HTTPS komunikace.

ESET PROTECT nepodporuje cachování HTTPS komunikace. Nastavení definovaná v politice související s HTTPS se neaplikují na ESET PROTECT.

•Použít vlastní složku s cache – pomocí přepínače aktivujte tuto možnost a zadejte Vlastní složku s cache, do které se budou ukládat soubory cache. Ve výchozím nastavení se cache pro ESET Bridge nachází ve složce eset_cache:

oWindows: C:\ProgramData\ESET\Bridge\Proxies\Nginx\data\eset_cache

oLinux: /var/opt/eset/bridge/nginx/data/eset_cache

Pro provedení změn týkajících se cache je nutné po aplikování politiky restartovat službu ESET Bridge.

Předpoklady v systému Linux

Před použitím politiky s vlastní složkou cache se ujistěte, že jsou v systému Linux splněny tyto předpoklady:

•Vámi definovaná složka cache musí na disku existovat.

•Pomocí tohoto příkazu v terminálu udělte uživateli eset-bridge oprávnění k přístupu do vlastní složky cache: sudo chown -R eset-bridge:eset-bridge <cache_path_dir> (nahraďte <cache_path_dir> vlastní složkou cache).

•Nastavení vlastních oprávnění pro složku s cache – pomocí přepínače můžete nastavit všechna potřebná oprávnění pro vlastní složku pro protokoly proxy serveru. Pokud tato složka neexistuje, bude vytvořena. Tato funkce je k dispozici pouze ve Windows.

Pokud v politice pro ESET Bridge nastavíte vlastní složku cache a tato složka neexistuje nebo k ní nejsou žádná přístupová oprávnění, webová konzole ESET PROTECT upozorní uživatele, že nastavení je neplatné. ESET Bridge spustí záložní mechanismus s výchozí cestou ke složce cache.

Nastavení politiky pro protokoly proxy serveru ESET Bridge

•Vlastní adresář protokolů proxy serveru – zadejte vlastní cestu ke složce pro protokoly Nginx proxy serveru. Výchozí složky pro protokoly proxy serveru:

oWindows: C:\ProgramData\ESET\Bridge\Proxies\Nginx\logs

oLinux: /var/opt/eset/bridge/nginx/logs

Pokud nastavíte vlastní složku pro protokoly proxy serveru, ESET Log Collector nebude moci vyhledat a shromáždit protokoly proxy serveru.

Předpoklady v systému Linux

Před aplikováním politiky s vlastní složkou pro protokoly proxy serveru se ujistěte, že jsou v systému Linux splněny tyto předpoklady:

•Vlastní složka pro protokoly proxy serveru musí na disku existovat.

•Pomocí tohoto příkazu v terminálu udělte uživateli eset-bridge oprávnění k přístupu do vlastní složky pro protokoly proxy serveru: sudo chown -R eset-bridge:eset-bridge <cache_path_dir> (nahraďte <cache_path_dir> vlastní složkou pro protokoly proxy serveru).

•Nastavte oprávnění pro adresář s protokoly proxy serveru – pomocí přepínače můžete nastavit všechna potřebná oprávnění pro vlastní složku pro protokoly proxy serveru. Pokud tato složka neexistuje, bude vytvořena. Tato funkce je k dispozici pouze ve Windows.

Pokud v politice pro ESET Bridge nastavíte vlastní složku pro protokoly proxy serveru a tato složka neexistuje nebo k ní nejsou žádná přístupová oprávnění, webová konzole ESET PROTECT upozorní uživatele, že nastavení je neplatné. ESET Bridge spustí záložní mechanismus s výchozí cestou ke složce pro protokoly proxy serveru.

Nastavení politiky pro časové limity proxy serveru ESET Bridge

•Časový limit keepalive – nastavení časového limitu, po který zůstane udržováno otevřené klientské spojení na straně proxy serveru (v sekundách; výchozí hodnota je 60). Nulová hodnota znamená, že klientské keepalive spojení nebude udržováno.

•Časový limit pro odesílání – časový limit pro odeslání odpovědi klientovi (v sekundách; výchozí hodnota je 60). Tento časový limit je nastaven pouze mezi dvěma po sobě následujícími zápisy, nikoli pro přenos celé odpovědi. Pokud klient během této doby nic neobdrží, spojení se uzavře.

•Časový limit na připojení – časový limit pro navázání spojení s proxy serverem (v sekundách; výchozí hodnota je 60).

•Časový limit pro čtení – časový limitu pro načtení odpovědi z proxy serveru (v sekundách; výchozí hodnota je 60). Tento časový limit je nastaven pouze mezi dvěma po sobě následujícími operacemi čtení, nikoli pro přenos celé odpovědi. Pokud proxy server během této doby nic nepřenese, spojení se uzavře.

Nastavení politiky pro proxy server ESET Bridge

•Použít proxy server – pomocí přepínače aktivujte připojení ESET Bridge přes proxy server (funkce proxy chaining).

•Proxy server – zadejte název hostitele nebo IP adresu vzdáleného proxy serveru.

•Port – zadejte port vzdáleného proxy serveru.

•Zapnout obcházení upstream proxy – zapnutím tohoto nastavení umožníte obcházení upstream proxy pro zadané adresy. Požadavky na tyto adresy nebudou předávány upstream proxy.

•Obcházet upstream proxy pro adresy – zadejte adresy serverů (oddělené čárkou), které bude upstream proxy obcházet. Požadavky na tyto adresy nebudou předávány upstream proxy.

ESET Inspect Connector můžete nastavit tak, aby obcházel proxy chain a přesměrovával replikační provoz přímo na adresu ESET Inspect serveru.

Pokud ESET Bridge běží na stejném zařízení jako ESET PROTECT Server, předává replikovanou komunikaci přímo ESET PROTECT Serveru, ne druhému proxy serveru.

Nastavení politiky pro aktualizace ESET Bridge

•Automatické aktualizace – pomocí přepínače povolíte automatické aktualizace ESET Bridge. ESET Bridge (verze 3 a novější) podporuje automatické aktualizace, které jsou ve výchozím nastavení povoleny. Jakmile je k dispozici novější verze ESET Bridge, dojde k automatické aktualizaci ESET Bridge.

Nastavení politiky pro hlášení ESET Bridge

•Nahlásit otevřenou proxy – pokud je zapnutá funkce ESET Vulnerability & Patch Management, ESET Bridge se přepne do režimu otevřené proxy. Vypnutím této možnosti skryjete výstrahu Omezení přístupu jsou vypnutá ve webové konzoli ESET PROTECT.